漏洞修复-SSH版本信息可被获取漏洞
- 1、背景
- 2、环境
- 3、思路
- 4、实操
1、背景
新分配下来的云服务,在没有投入生产环境之前,漏扫和安全防固是两项基本工作。云安全产品扫描过后导出的漏洞信息如下:
漏洞详情:
威胁分值 : 0.0
危险插件 :否
发现日期 :1999-01-01
CVE编号 :CVE-1999-0634
CNCVE编号 :CNCVE-19990634
2、环境
| 序号 | 项目 | 版本 |
|---|---|---|
| 1 | Linux CentOS | 7.6.1810 |
| 2 | OpenSSH | 8.9 |
3、思路
漏洞原因:
SSH版本信息可以被获取,就是在ssh登陆对应主机的时候,登录过程中会暴露SSH的信息。
解决方案:
自定义Banner来代替系统默认的Banner,保证SSH信息不被泄露。
4、实操
1、创建新的文件
touch /etc/ssh/ssh_banner_change
2、写入自定义内容
echo "Welcome to ssh" > /etc/ssh/ssh_banner_change
3、修改配置
vi /etc/ssh/sshd_config
找到下图位置进行编辑,
# no default banner path
# Banner none
Banner /etc/ssh/ssh_banner
4、重启服务
systemctl restart sshd
5、查看状态
systemctl status sshd
通过查看服务的启动时间,判断重启服务的成功与否
6、验证无误后,脚本化
#!/bin/bash
# ------------------------
# File Name : bug_fix
# Create Date: 2023-09-06
# Descritpion:
# fix ssh version information
# ------------------------
if [ $UID -ne 0 ];then
echo "please use root run this file"
else
touch /etc/ssh/ssh_banner_change
echo "Welcome to ssh" > /etc/ssh/ssh_banner_change
sed -i "/#Banner none/a Banner /etc/ssh/ssh_banner_change" /etc/ssh/sshd_config
systemctl restart sshd
fi
运行完毕查看ssh状态,重新扫描服务器验证此漏洞修复情况。
批量化修复搭配ansible工具的 script模块操作即可
